Christian Flores nos compartió en el #DragonJARCON 2020 una charla titulada "Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux" cuya descripción es: La charla muestra cuantas funciones inseguras son utilizadas en la última versión de Ubuntu Lts, consiguiendo un Buffer Overflow en un paquete en Ubuntu, obteniendo un CVE. Demostrando lo negativo de utilizar estas funciones en desarrollo y los asistentes puedan investigar y conseguir CVEs","description":"Los fallos de seguridad en el software son muy comunes hoy en día. En promedio 41 fallos de seguridad en software diarios fueron publicados en 2018. El objetivo de esta charla es mostrar que tan peligrosas son las funciones inseguras que pueden terminar en ataques del tipo Buffer Overflow. Se investigó el uso de funciones inseguras en proyectos GNU/Linux, específicamente en Ubuntu 18.04, la última versión de Linux LTS. Buscando la cantidad de funciones inseguras presente son miles (más de 10000), con estó se investigó que paquetes utilizan las funciones inseguras en Ubuntu 18.04, para su posterior investigación y explotación, pudiendo conseguir explotar Buffer Overflows en los paquetes. Como conclusión de esta investigación se logró la explotación de Buffer Overflow en dos paquetes de Ubuntu, consiguiendo un CVE y uno en proceso de validación. Esta charla pretende mostrar como descubrir funciones inseguras en software, para que las empresas no los utilicen y entiendan el impacto que podria significar la utilización de estas funciones. Además de enseñar a los asistentes, todo lo necesario para que puedan empezar sus investigaciones en este tema y puedan conseguir sus propios CVEs","notes":"El MITRE se encuentra en proceso de asignarnos el CVE de forma fija, aun el desarrollador del paquete en el cual se enceontro el CVE no ha corregido el fallo, por lo que quisiera que la charla no sea graba para que sea pública hasta que exista un arreglo, al venir por defecto en Ubuntu Lts. ----------------------------------------------------------------------------------------------- Youtube: DragonJARtv (http://bit.ly/DragonJARtv) Facebook: La.Comunidad.DragonJAR (http://bit.ly/DragonJARfb) Twitter: @DragonJAR (http://bit.ly/DragonJARt) Instagram: Dragon.JAR (http://bit.ly/DragonJARig) Discord: https://invite.gg/DragonJAR Blog: Comunidad DragonJAR (http://bit.ly/DragonJAR) -----------------------------------------------------------------------------------------------